IVD类设备软件和网络安全的安全性级别该如何考虑？

IVD（体外诊断）设备在现代医疗中扮演着极其重要的角色，它们的检测结果直接影响医生的诊断决策和患者的治疗方案。而软件作为这些设备的核心“大脑”，从样本处理、数据分析到结果报告，几乎贯穿整个检测流程。网络安全则关系到设备接入网络后数据的保密性、完整性和可用性。因此，科学合理地确定软件和网络安全的安全性级别，是确保IVD设备安全有效、顺利通过注册审评的关键一步。这并非简单的选择题，而是需要结合设备的具体情况，依据法规要求进行综合判定。

软件安全性级别的判定依据

软件的安全性级别不是随意定的，它直接关联到软件如果出了问题，可能对患者或使用者造成的潜在伤害有多大。这个判定主要看三个方面：软件的预期用途是什么？它在什么使用场景下运行？它承担着哪些核心功能？

基于对潜在风险的综合评估，法规将软件安全性级别明确分为三个等级：

1.轻微级别：这个级别意味着软件基本不可能产生伤害。比如，一个仅用于记录设备开关机时间或环境温度的软件模块，即使出错，也不太可能影响到诊断结果或患者安全。

2.中等级别：这个级别的软件，有可能直接或间接导致一些轻微的、不严重的伤害。举个例子，一个负责生成初步筛查报告的软件，如果报告格式错误或部分非关键信息缺失（比如样本接收时间记录错），虽然可能引起操作不便或需要重复检测，但通常不会直接造成严重的健康后果。

3.严重级别：这是最高的风险级别。意味着软件如果失效或出错，可能直接或间接导致患者严重伤害甚至死亡。这种情况通常出现在软件直接控制诊断过程的核心环节或对关键诊断结果起决定性作用时。

所以，作为申请人（也就是设备制造商），您必须非常仔细地分析您的IVD设备具体是用来干什么的（预期用途），以及它一旦出问题，最坏的结果会是什么（可能导致的伤害）。只有把这些分析透了，才能准确判断出产品的整体风险和与之对应的软件安全性级别。确定级别后，您就需要按照这个级别的要求，准备和提交相应的软件研究资料给审评机构。不同级别对软件生命周期过程（需求、设计、验证、确认、缺陷管理、更新）的控制要求和文档深度是不同的，级别越高，要求越严格。

网络安全性级别的关联与特殊性

设备联网了，风险又多了一个维度。那么，网络安全的级别怎么定呢？它和软件安全级别是什么关系？

通常情况下，法规给出的原则很清晰：IVD类设备的网络安全性级别应与其所属设备的软件安全性级别保持一致。这很好理解，因为网络安全风险本身就是软件风险的重要组成部分。软件如果负责关键诊断功能（严重级别），那么保护这个软件及其数据的网络安全自然也需要对应严重级别。

但是，事情总有例外。在特殊情形下，网络安全的级别可以低于软件的级别。请注意，这绝对不是常态，而是需要非常充分的理由。比如说，您的设备虽然软件本身是严重级别（因为它控制着核心检测流程），但您设计了一个物理隔离的网络架构，该设备运行的网络环境是绝对封闭、完全不与外部网络（包括医院内网和互联网）连接的专用网络。同时，该网络本身也采取了极高的物理和逻辑隔离措施。在这种情况下，来自外部网络的攻击风险可能被极大降低，那么您有可能论证网络安全的风险级别低于软件级别（比如降到中等）。但关键是，您必须在注册资料中详细、清晰地描述这个特殊的设计、实施情况和降低风险的具体理由，并提供充分的证据支持。审评机构会非常严格地审视这种“例外”情况。

确定了网络安全的级别后，您就需要按照这个级别来准备网络安全的研究资料。这包括网络安全的需求规范、架构设计、风险分析（威胁建模）、验证测试、漏洞管理计划等。

网络安全漏洞评估的级别要求

说到网络安全，就绕不开漏洞问题。设备上市前，必须对其网络安全漏洞进行全面评估。这个评估的要求，直接取决于您设备的网络安全性级别：

1.无论哪个级别，都需要进行漏洞评估。但具体要求不同。

2.特别是对于被定为网络安全严重级别的设备，要求是最高的。您不能仅仅提供一个自己做的漏洞扫描报告（自评报告）就完事。法规明确要求，除了自评报告，您还必须提交一份由具备相关资质的独立网络安全评估机构出具的正式的网络安全漏洞评估报告。

3.这份第三方报告非常关键，它需要客观、深入地评估设备已知的漏洞及其潜在影响。更重要的是，报告必须明确指出所有已知但尚未修复的漏洞（即剩余漏洞）的具体维护方案。这个方案要详细说明如何持续监控这些漏洞、如何评估新出现的漏洞、修复漏洞的流程和时间框架、以及如何将修复方案安全地推送给用户（如软件更新）。最终目标，是要让审评机构和您自己都确信，综合考虑了所有措施后，设备的综合剩余风险处于可接受的水平。

IVD类设备安全性级别判定要点总结

软件安全性级别可结合软件的预期用途、使用场景、核心功能进行综合判定。软件安全性级别基于软件风险程度分为轻微、中等、严重三个级别，其中轻微级别即软件不可能产生伤害，中等级别即软件可能直接或间接产生轻微（不严重）伤害，严重级别即软件可能直接或间接产生严重伤害或导致死亡。申请人需结合IVD类设备的具体预期用途及可能导致的伤害综合判定产品风险和软件安全性级别，按照相应的软件安全性级别提交软件研究资料。

通常情形下，IVD类设备的网络安全性级别与所属设备的软件安全性级别相同；特殊情形下，网络安全的安全性级别可低于软件的安全性级别，此时需要详细描述具体理由。申请人应当按照相应的级别提供网络安全研究资料。在漏洞评估方面，网络安全严重级别除了应提供网络安全漏洞自评报告，还应提供有资质的网络安全评估机构出具的网络安全漏洞评估报告，明确已知剩余漏洞的维护方案，确保产品综合剩余风险均可接受。

IVD类设备安全性级别举例：预期用于胎儿染色体非整倍体筛查、肿瘤基因伴随诊断检测的基因测序仪类产品；预期用于血型检测及交叉配血等的仪器设备产品，其给出的辅助诊断结果有可能导致严重伤害或死亡，其软件应被视为严重级别。预期用于病原体基因检测和人类基因突变检测的PCR分析仪类产品，其软件应不低于中等级别。